美国阻止比特币病毒

1. 比特币病毒到底是什么

昨天抽风去了电子阅览室，刚插上U盘没多久，老师就突然大声说让大家把U盘拔下来，有学生发现U盘里的文件全部都打不开了，还多了两个要钱的文件。

于是大家都匆忙查看，只要U盘在学校电脑上插过的都中毒了，晚上出现大规模电脑中毒情况。

很多人的资料、毕业论文都在电脑中，真的觉得黑客这种行为太恶心了，为了钱，不管不顾学生的前途，老师毕生的科研成果……

希望尽早抓到犯罪分子，给予法律的严惩！

这个病毒会扫描开放 445 文件共享端口的 Windows 设备，只要用户的设备处于开机上网状态，黑客就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

一些安全研究人员指出，这次大规模的网络袭击似乎是通过一个蠕虫病毒应用部署的，WannaCry 可以在计算机之间传播。更为可怕的是，与大部分恶意程序不同，这个程序可以自行在网络中进行复制传播，而当前的大多数病毒还需要依靠中招的用户来传播，方法则是通过欺骗他们点击附有攻击代码的附件。

这次袭击已经使得 99 个国家和多达 75,000 台电脑受到影响，但由于这种病毒使用匿名网络和比特币匿名交易获取赎金，想要追踪和定位病毒的始作俑者相当困难。

2. 比特币勒索病毒是真的吗的最新相关信息

比特币勒索病毒是真实的，比特币勒索病毒“wanacry”

WannaCry（想哭，又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播[1] 。

该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为300至600美元。

2017年5月14日，WannaCry 勒索病毒出现了变种：WannaCry 2.0，取消Kill Switch 传播速度或更快。截止2017年5月15日，WannaCry造成至少有150个国家受到网络攻击，已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Window操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。

目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称，美国国家安全局未披露更多的安全漏洞，给了犯罪组织可乘之机，最终带来了这一次攻击了150个国家的勒索病毒。

3. 比特币病毒是美国病毒武器库泄露的吗

12日，全球99个国家和地域产生超过7.5万起电脑病毒攻打事件，罪魁罪魁是一个名为“想哭”(WannaCry)的勒索软件。俄罗斯、英国、中国、乌克兰等国“中招”，其中英国医疗系统陷入瘫痪、大批病人无法就医。

这款病毒源自上月遭泄密的美国国家保险局病毒武器库。不少网络专家和电脑安全公司批驳，美国网络项目开支的90％用于研发黑客攻击武器，一旦该“武器库”遭泄密，势必殃及全球。

路透社援引美国联邦政府颁布的数据以及情报部门官员的话报道，美国网络项目开销中，90％用于研发黑客袭击武器，例如侵入“敌人”的电脑网络、监听大众、想法让基本设施瘫痪或碰壁等。

得知最新攻击事件后，“棱镜”监听项目曝光者、美国前防务承包商雇员爱德华·斯诺登12日发推文说，“只管屡次被忠告，（美国国安局）依然研制了危险的攻击工具。今天，我们见到代价……医院里的病人性命受到威胁”。

面对外界批评，美国国安局尚未作出回应。美国国土安全体盘算机紧迫应对小组表现，正亲密关注这起波及全球的黑客攻击事件。

4. 谁是勒索软件真正的攻击目标

据悉，这个在国内被大家简称为“比特币病毒”的恶意软件，目前攻陷的国家已经达到99个，并且大型机构、组织是头号目标。


在英国NHS中招之后，紧接着位于桑德兰的尼桑造车厂也宣告“沦陷”。西班牙除了最早被黑的通讯巨头Telefonica，能源公司Iberdrola和燃气公司Gas Natural也没能幸免于难。德国干脆直接被搞得在火车站“示众”。这个被大家称之为“比特币病毒”的勒索蠕虫，英文大名叫做WannaCry，另外还有俩比较常见的小名，分别是WanaCrypt0r和WCry。
它是今年三月底就已经出现过的一种勒索程序的最新变种，而追根溯源的话是来自于微软操作系统一个叫做“永恒之蓝”（Eternal Blue）的漏洞。美国国家安全局（NSA）曾经根据它开发了一种网络武器，上个月刚刚由于微软发布了新补丁而被“抛弃”。

三月底那次勒索程序就叫WannaCry，所以如果你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的说法，所指也是本次爆发的勒索程序。

随后，微软在3月发布的补丁编号为MS17-010，结果众多大企业们和一部分个人用户没能及时安装它，才让不知道从什么途径获取并改造了NSA网络武器的WannaCry有机可乘。
而且这回的勒索软件目标并非只有英国NHS，而是遍布全球，总觉得有种“人家不是只针对英国医疗系统”一样、奇怪的“有人跟我一样糟就放心”了的潜台词。虽然最后事实证明确实全球遭殃。
但WannaCry最早从英国NHS开始爆发，真的只是巧合吗？

对于任何勒索病毒而言，都是最有可能被攻击的“肥肉”：医护人员很可能遇到紧急状况，需要通过电脑系统获取信息（例如病人记录、过敏史等）来完成急救任务，这种时候是最有可能被逼无奈支付“赎金”的。
医疗信息与管理系统学会的隐私和安全总监Lee
Kim也解释说，出于信息储备过于庞大以及隐私考虑，“在医疗和其他一些行业，我们在处理这些（系统）漏洞方面确实会不那么及时”。这也是为什么科技领域普遍认为WannaCry幕后黑手的时机把握得非常巧妙，毕竟微软更新MS17-010补丁还不到两个月。从开发并释放WannaCry人士角度来考虑这个问题，他们其实并不在乎具体要把哪个行业作为攻击目标，因为他们的逻辑就是任何有利可图的领域都是“肥肉”，都要上手捞一笔。所以他们确实并不是非要跟英国NHS过不去，只不过是好下手罢了。
个人电脑用户被攻击的比例比企业和大型机构低很多，这不仅仅是因为个人电脑打补丁比较方便快捷，也因为这样攻击不仅效率不高、获利的可能也更小。WannaCry的运作机制，根本就是为局域网大规模攻击而设计的。

这样看来，前面提到的全世界其他受攻击大型企业和组织，无论交通、制造、通讯行业，还是国内比较惨烈的学校，确实都是典型存在需要及时从数据库调取信息的领域。

至于敲诈信息的语言问题，Wired在多方搜集信息后发现，WannaCry其实能以总共27种语言运行并勒索赎金，每一种语言也都相当流利，绝对不是简单机器翻译的结果。截至发稿前，WannaCry病毒的发源地都还没能确认下来。
与其说WannaCry幕后是某种单兵作战的“黑客”，倒不如说更有可能是招募了多国人手的大型团伙，并且很有可能“醉温之意不在酒”。毕竟想要简单捞一笔的人，根本没有理由做出如此周全的全球性敲诈方案。

WannaCry在隐藏操作者真实身份这方面，提前完成的工作相当缜密。不仅仅在语言系统上声东击西，利用比特币来索取赎金的道理其实也是一样：杜绝现实货币转账后被通过汇入账户“顺藤摸瓜”的可能。而且WannaCry的开发者早就有了一个范围宽广、长期作战的策划：“在情况好转之前，它会先变糟糕的——相当糟糕。”（This’ll get worse—a lot worse—before it gets better.）
不过，在晚些时候，一位22岁的英国程序猿小哥就似乎“误打误撞”阻止了WannaCry的进一步扩散。

这位小哥在社交网络上的昵称是MalwareTech（中文意思大概是“恶意软件技术”，听起来反而更像个黑客），阻止了WannaCry的进一步全球肆虐后，他在自己的博客上写下了全过程，甚至英国情报机关GCHQ都在官网转po了这篇博文。
MalwareTech本来应该在度假中，不过他还是迅速反应，找到了一份WannaCry软件的样本。阅读代码时，他发现了一个没有被注册过的域名，下面的代码意思就是WannaCry在黑点电脑前的运行中会先试图访问该域名，如果访问失败就黑掉系统，如果成功则自动退出。

于是MalwareTech就把这个域名给注册了。

在后来一些中文媒体的报道中，小哥的这一举动被强调成是“突发奇想”或者“下意识”之举。正是因为无效域名被注册，后来被WannaCry感染的电脑都在访问该域名时得到了肯定的返回值，于是没有再锁定信息、展开敲诈。
不过MalwareTech自己解释却不是这样的。他在博客中写道，注册这个域名是他作为网络安全工作人员的“标准做法”（standard practice）。过去一年里，遇到所有这样短时间访问量激增的无效域名，他都会将其注册后扔进前面图里提到的“天坑”（sinkhole）里，而这个“天坑”的作用就是“捕获恶意流量”。

WannaCry样本中域名，在昨天全球范围攻击开始后访问量瞬间激增，此前却没有任何被访迹象。

然而MalwareTech职业灵敏度，让他开始考虑WannaCry是否会定期或在特请情况下修改程序中的无效域名，因为如果是这样的话，仅仅注册他所发现的这个域名就无法阻止未来袭击。

即使软件里没有这样的部分，开发者依然能够手动升级WannaCry后再度把它传播开来，所需要做的也就仅仅是替换一个新的无效域名而已。






还有一种更糟糕的情况：如果WannaCry程序中还有另一层自我保护机制，那么无效域名的注册很有可能导致目前所有被感染电脑自动为所有信息加密，无法复原。
为了排除后一种情况，MalwareTech干脆修改了自己一台电脑的主机文件，让它无法连接那个已经被注册了的前无效域名。

电脑成功蓝屏了。
MalwareTech写道：“你可能无法想象一个成年男人在屋里兴奋得跳来跳去，原因竟然是自己电脑被勒索软件搞失灵了。但我当时确实就那样了。”测试结果表明，他的“标准做法”确实阻止了WannaCry的进一步传播。

但是小哥亲自警告：“这事没完”
和某些信息平台热炒MalwareTech“拯救了全世界”的梗不同，英国《卫报》和《英国电讯报》都在标题里明确告诉大家，小哥自己都已经作出警告：“这事没完！”
域名被注册后WannaCry的停止扩散，在他看来只是病毒制造者一个不够成熟的自我保护机制。对方的真正意图并非通过域名是否能连接上来“指挥”病毒的运行，而是通过这种方式判断病毒是否被电脑安全高手捕获。
一旦WannaCry运行时发现域名有反应，真实反应并不是“好心”地停止攻击，而是避免自己被扔进“沙盒”（sandbox）安全机制被人全面分析，干脆退出获得域名响应的电脑系统。






MalwareTech虽然功不可没，但他只是阻止了“比特币病毒”现行样本的扩散，但开发者也已经意识到了这项弱点，随时可能用升级版勒索程序卷土重来。
当然，也不排除，此次勒索软件的最终目的，不是真的想勒索，而是想展现给一些有不法分子查看这个病毒的威力，从而出售这个病毒给他们。如果真的是这样的话，那么接下来的日子，网络安全，将会面临一个很严峻的挑战。
此次勒索软件威胁的不仅是个人用户，还有众多机构和企业。
因此提醒，所有网络用户今后都应加强安全意识，注意更新安全补丁和使用各种杀毒工具。

5. 比特币病毒的病毒作者

据路透社报道，“比特币敲诈者”木马家族的作者名叫艾维盖尼耶·米哈伊洛维奇·波格契夫（Evgeniy Mikhailovich Bogachev），是一名俄罗斯黑客。
据美国联邦调查局（FBI）官网显示，波格契夫在FBI通缉十大黑客名单中排名第二，是某网络犯罪团体的头目。
2012年8月22日，波格契夫以“幸运12345”的昵称受到内布拉斯加州联邦大陪审团多项指控，包括合谋进行银行诈骗、计算机诈骗和身份信息盗取。2014年5月19日，他再次被美国法院指控其犯有计算机诈骗、银行诈骗、洗钱、电信欺诈等多项罪名。2014年5月30日，他的昵称“幸运12345”第3次受到起诉，被指控合谋进行银行诈骗。
根据FBI的调查，波格契夫仅凭“终结者宙斯”木马病毒以及“比特币敲诈者”勒索病毒，就令12个国家超过一百万计算机感染，经济损失超过1亿美元。
FBI对抓捕波格契夫提出了巨额悬赏。悬赏令显示，提供关键信息导致波格契夫被拘捕者可获得300万美元的奖励，这也是美国在打击网络犯罪案件中所提供的最高悬赏金。
据介绍，木马最开始支付比特币的时候没有使用匿名网络导致服务器暴露，病毒作者身份随之被查出。自波格契夫身份暴露后，“比特币敲诈者”家族木马的设计愈发狡猾，比特币支付环节改在TOR（洋葱网）上进行，这使得警方对波格契夫的抓捕更为困难。

6. 比特币真的是骗局吗

比特币本身不是骗局，只有利用比特币实施诈骗犯罪行为的才是骗局。比特币是一种由开源的P2P软件产生的电子货币，是一种网络虚拟货币，不依靠特定货币机构发行。法律并没有明文规定比特币违法，根据罪刑法定原则，比特币并不违法，但不法分子可能利用比特币从事犯罪。
【法律依据】
《中华人民共和国刑法》第三条法律明文规定为犯罪行为的，依照法律定罪处刑；法律没有明文规定为犯罪行为的，不得定罪处刑。第十三条一切危害国家主权、领土完整和安全，分裂国家、颠覆人民民主专政的政权和推翻社会主义制度，破坏社会秩序和经济秩序，侵犯国有财产或者劳动群众集体所有的财产，侵犯公民私人所有的财产，侵犯公民的人身权利、民主权利和其他权利，以及其他危害社会的行为，依照法律应当受刑罚处罚的，都是犯罪，但是情节显著轻微危害不大的，不认为是犯罪。

7. 数字货币社区必须利用区块链技术以自我监督

数字货币社区必须利用区块链技术以自我监督
对发生在区块链上的非法行动进行自我监督，可能很快就会成为数字货币社区的必要条件。
未来每一天，数字货币爱好者很可能都得花时间去识别违法交易去避免这些事情发生。美国的财政部门已经做了决定且不可更改。
几周以前，美国财政部门悄悄发布其在外国资产控制办公室（OFAC）的网站上对于FAQs部分补充部分，该机构负责监管美国经济制裁。OFAC中的语言，计划把‘数字货币’地址包括在其特殊指定国民和封锁人员（SDN）名单上。
这将成为一件重大的事情。
银行和各个类型的企业都应该检查SDN名单，以确保他们没有提供金融服务给个人、组织和因为涉及恐怖分子，核扩散，盗窃，人权侵犯以及其他罪行而美国指定为‘封锁’的政府。
银行可以合法冻结属于OFAC名单上的他们所持有的财产，以及停止他们的交易。如果不这样实行的话，经济处罚可能更严重。尽管大多日常数字货币的投资者对于受到法律限制制裁的世界只了解一点点，但是任何形式的金融商业的经营者们都知道的，如果你不服从法律管理，你瞬间就可能会失去商业和财产。
以前从来没有过一个特定的数字货币地址或者财产会被列入OFAC的行列，尽管法律专家这么多年来一直都明白，发送比特币或者其他的数字货币给任何SDN名单上的任何人对美国人来说都会非法行为。
不过，在金融世界中的封闭资金，和可存在于数字货币领域的是有很大区别的。对等数字货币交易不能被第三方封锁和监管。
所以一个OFAC指定的数字货币资金更可能会带来它的外部地址的审查，而并非是指定资金本身。
一些数字货币产业的专家认为，数字货币资金的指定会迎来一个新的时代；这取决于他们与SDN地址的关联程度，一个令牌被归类为干净的，被污染的或者是未知的时代。
这可能引起同一个区块链上，硬币的价格水平不同高低，干净的令牌会比那些被污染过的或者说不明来源的令牌价格要高，以及终结自从数字货币存在以来就有的可替代性。
第一是可以期待区块链取证工具价值将越来越高，以及越来广泛的开展，因为数字货币交易旨在减少用户交易污染货币的风险。
这取决于你
然而，一个新的时代最重要的一部分是由金融机构审查数字货币交易地址，这将是数字货币社区自己必须要做的事情：例行阻止区块链上的非法交易。
这是数字货币社区不想听到的事情。
数字货币专家经常指出‘审查制度的阻力’作为技术的最具有价值的特征，它可以让任何人在没有任何政府权利限制的情况下去存储并发送资金。从理论上来讲，这对于自由和民主都是非常强有力的推动。
在实践当中，这种技术能力在大多数与金融犯罪相关的管辖范围内的法律中都是不可能延展的。虽然逃避腐败政府的行为是一个很值得的目标，数字货币社区应该意识到，保持被动在道德上不被接受的，然而犯罪分子和恐怖分子利用社区自由的证据越来越多。
近年来，反洗钱（AML）合规专家专注于区块链行业的行为，鼓励数字货币企业去超越传统金融机构所需要的‘了解你的客户’（KYC）尽职调查，以及通过改变区块链上的数据来进行‘了解你的交易’（KYT）分析。
有很多初创企业专门从事这种区块链取证工作，与其他执法机构和大型银行的企业客户一起，进行数字货币交易。这些公司的分析工具用来对抗犯罪是十分有效的，但是很多区块链社区的声音对这种工具进行批评--------说它会匿名化区块链上的金融交易----去破坏隐私。然而，来自区块链取证上大部分的信息都不是公开与大众的。通常，需要一个公司或者政府客户来访问这种数据。
但是，OFAC列出数字货币地址就会增加KYT分析的风险。
这将对每一个涉及数字货币交易的人来说都十分重要，这可以让他们验证他们所触及的地址的‘合法性’。
虽然很可能指定地址的数量将会从最小开始（OFAC不会轻易指定地址），甚至是违反制裁的机会很小的会带来顺从风险降低，影响到百姓群体的令牌买家。
一个与被禁止的地址或者该地址已经被一个禁止的地址进行交易的不经意的交易，将会在公共区块链账本上可见，可能也会玷污到这个人的数字货币资金。
能够帮助数字货币的日常用户走出受到SDN影响的区块链平台的唯一办法就是拥有实时AML/KYT去洞察各种资金地址的资金流动。可以当前的处境来看，区块链分析只是在筒仓当中，只是提供给金融公司和法律部门使用，所以这个办法是根本不可能去实现的。
集中式的AML
我们需要一个开放资源的平台，在这个平台，非法活动被标记，诋毁信息被审查。我们把它叫做区块链上的集中式AML。
我理解这个需求。作为一个非营利国家安全智囊团中的研究人员，我调查了数字货币和非法融资的事件，例如中东的比特币恐怖分子资金活动。我们的团队使用了免费公开的区块链探索网站，来分析这些活动的捐赠。
这些工具不像政府跟银行这种机制，可以使用昂贵的专门机器学习和算法工具那么的厉害。即使我通过严密的手动追踪和区块链活动的分析，我所看到的标志地址与恐怖分子资金交易，并没有一个有效的方法去分享我在平台上的发现，所以日常的数字货币使用者们可以看见我的‘标志’，尽可能的去评估他们的准确性并保持他们的地址不受到污染。
该行业可以帮助解决问题
两年前，我建议数字货币专家应该建立他们自己的看门口小组，来寻找区块链上的恶略活动，就类似于‘白帽子’黑客是如何标志病毒和其他网络威胁的一样。财政部门的计划使现在对于数字货币社区最重要的来说，就是建立自我监督的倡导。
除了集合OFAC的黑名单以外，一个公开的众包区块链AML工具可以解决直接影响到数字货币用户们的非法金融威胁：数字货币抢劫。这会让勒索或者交易黑客的受害者们去自愿列出他们敲诈或者被偷的令牌。
虽然这并不会将资金转回到他们合法持有者的手中，但它会让转移或者偷盗硬币的这种行为更为困难，并会长期影响数字货币偷盗行为。
当然，对于一个可以自我监督的AML平台来说，必须要有一个方法来审查列表，这样的话，不精准的和一些非法的信息就不会被发不出去。否则，这样的工具会被滥用于错误篡改地址，然后在经济上迫害无辜的人们。但是在区块链平台上实行AML是一个更具有技术性的解决问题的方法，而不是找理由拒绝去寻求一个更好的方法。
第一个区块链的协议，比特币的突破，是在设计分散性方法来激励陌生人们去完成和肯定全球公共金融记录的真实性。
当然，数字货币令牌在所有的注意力，时间，以及金钱的投资到一个新的产品和服务的基础上，那些开发这个技术的人，应该能够设计出方法来鼓励保持区块链的干净，不受玷污。

8. 比特币为什么遭遇多国监管高压

近日，德国财政部长彼得·阿尔特迈尔和法国财政部长布鲁诺·勒梅尔在巴黎联合举行新闻发布会，表示将在今年阿根廷举行的二十国集团峰会中联合推动全球对比特币的监管，将警告这一世界最流行的加密货币正在被非法团体利用。

比特币的监管问题很有可能成为今年二十国集团峰会的新议题。勒梅尔就多次表示，他将提议在二十国集团峰会上讨论比特币的问题，对于投机风险，成员国都需要一起讨论管理比特币的规制。美国财政部长姆努钦日前也表示，他将与二十国集团合作，防止比特币等加密货币成为匿名瑞士银行账户的数字等价物。

专家建议，二十国集团和一些国际性的金融机构应加快制定相关原则和准则，为各国建立相协调的监管政策提供案例和遵循。同时在监管方面实现全球协同，共同打击非法的加密货币交易和犯罪。